Trojan czy False Positive ?
#1
Chciałem pograć w gierki  z automatów na emulatorze WinKawaks, pobrałem emulator z oficjalnej strony i po rozpakowaniu Comodo krzyczy, że plik zainfekowany. Wrzuciłem archiwum na virus total:
https://www.virustotal.com/#/file/5d567f.../detection
I nie wiem, to FP czy jednak syf ?
Odpowiedz
#2
Hmm sprawdziłem info na kilku forach i jest jeden ze znanych emulatorów do starych gier arcade.

Mimo wszystko MAME albo Zinc czy też FinalBurn Alpha są zdecydowanie lepszymi zamiennikami.
Jeśli jednak chcesz ten powyższy emulator to najpewniejsze źródło jest pobierać ze strony autora: https://www.winkawaks.org/

Tu masz portal anglojęzyczny z emulatorami może sie przyda.
http://www.emulator-zone.com/

Ja z dzieciństwa to jedynie kojarzę MAME jak grałem w metal sluga oraz ePSXe do odpalania starego Final Fantasy Tactic ^^
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#3
demisen daj mi ten plik w linku , a wyślę go do labu
Odpowiedz
#4
Zwróć uwagę, że niemal każdy z tych silników wskazuje na inny rodzaj zagorzenia, a wykryty jest zazwyczaj przez silnik heurystyczny,. Jeżeli masz z oficjalnego źródła to raczej FP.

Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
(01.01.2019, 23:09)M\cin napisał(a): Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile

FBA jest na tyle dobry, że o WinKawaksie zapomniałem. Wysłałbym to do labu aby sprawdzili. Być może autorzy dodali coś w stylu PUA aby trochę dorobić na sponsoringu (jeżeli to instalator to wielce prawdopodobne np: w którejś instalce emulatora Andy dodana była koparka kryptowalut), albo ktoś im wjechał na serwer i dokleił coś niechcianego.
Odpowiedz
#6
Plik wygląda na czysty
Post sprawdzony przez  MKS_VIR


Odpowiedz
#7
(01.01.2019, 22:05)Sillo napisał(a): demisen daj mi ten plik w linku , a wyślę go do labu

Link: https://www55.zippyshare.com/v/jUNeH52R/file.html
Emu pobrany z oficjalnej strony, a czemu akurat Winkawaks ? Chyba kwestia przyzwyczajenia, pamiętałem, że kiedyś używałem.

(01.01.2019, 23:41)wredniak napisał(a):
(01.01.2019, 23:09)M\cin napisał(a): Z WinKawaksa korzystałem od 2008 roku i był wtedy o niebo wygodniejszy, jeżeli chodzi o emulację NeoGeo Smile

FBA jest na tyle dobry, że o WinKawaksie zapomniałem. Wysłałbym to do labu aby sprawdzili. Być może autorzy dodali coś w stylu PUA aby trochę dorobić na sponsoringu (jeżeli to instalator to wielce prawdopodobne np: w którejś instalce emulatora Andy dodana była koparka kryptowalut), albo ktoś im wjechał na serwer i dokleił coś niechcianego.

Pamiętam jak jeden z emulatorów N64 tak skończył :/
Odpowiedz
#8
Plik wysłany do labu mks_vir / czekam na odp
Odpowiedz
#9
(02.01.2019, 13:02)Sillo napisał(a): Plik wysłany do labu mks_vir / czekam na odp

Ja chciałem od razu skorzystać z Comodo Valkyrie, ale okazało się że teraz analiza przez człowieka jest tylko dla płatnych subskrypcji, więc wysłałem plik przez zgłoszenie FP i o dziwo dziś odpowiedź od Comodo, że plik czysty i aktualizacja baz gotowa. Jednak im więcej analiz tym lepiej Grin
Odpowiedz
#10
Od supportu mks_vir :
Cytat:Według   naszej  oceny  jedynym  "grzechem"  tej  aplikacji  jest  jej
skompresowanie  za  pomocą UPX'a i usunięcie jego znaczników, co przez
te  kilkanaście programów na Virustotal jest traktowane jako działanie
podejrzane.  Sami  również  mamy  w  silniku  podobny klasyfikator ale
akurat w tym przypadku on nie "zaskakuje" ze względu na inne elementy.

Czyli wychodzi że plik jest czysty.
Odpowiedz
#11
I spoko. Nie wiem czemu, ale zgłoszenie FP i wysłanie pliku do części producentów AV to jest jakaś mordęga, albo nie ma nigdzie informacji jak to zrobić, albo wymagania typu założenie konta, przebrnięcie przez 5-6 stron z anietami i jeszcze lepiej wysyłanie przez e-mail z kluczem PKI. Serio ? Chyba powinno im być na rękę dostarczanie próbek lub FP i być jak najprostsze.
Odpowiedz
#12
Kiedyś Avira miała takie coś zintegrowane ze swoim programem. Można było wysłać plik z kwarantanny bezpośrednio do labu. I co się potem okazało, to tych plików po tamtej stronie nikt nie sprawdzał Cool
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#13
(02.01.2019, 23:44)Tajny Współpracownik napisał(a): Kiedyś Avira miała takie coś zintegrowane ze swoim programem. Można było wysłać plik z kwarantanny bezpośrednio do labu. I co się potem okazało, to tych plików po tamtej stronie nikt nie sprawdzał Cool

Microsoft, Comodo, Sophos zareagowali szybko, GDATA trochę wolniej, a McAfee i Yandex są w ciemnej (_._)
Odpowiedz
#14
Zemana bardzo szybko reaguje i w miare dobrze SecureAPlus
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#15
Arcabit/mks_vir też szybko Smile
Odpowiedz
#16
(03.01.2019, 13:06)Sillo napisał(a): Arcabit/mks_vir też szybko Smile

Jak coś do nich przesłać ?
Odpowiedz
#17
(03.01.2019, 15:52)demisen napisał(a):
(03.01.2019, 13:06)Sillo napisał(a): Arcabit/mks_vir też szybko Smile

Jak coś do nich przesłać ?

Aby wysłać plik do laboratorium są 2 możliwości
1. Jeżeli posiada Pan zainstalowany produkt Arcabit\mks_vir klikamy Prawym przyciskiem myszy na plik który chce Pan wysłać i wybieramy  mks_vir - analiza Zostanie uruchomiony sender w którym podaje Pan swój mail kontaktowy i kilka informacji o Pliku
W przypadku Arcabit będzie opcja wyślij Plik do Laboratorium
2. Wysyła Pan Email na adres pomocy technicznej mks_vir lub Arcabit  np. [email protected] (lab jest jeden ) załącza Pan plik (najlepiej spakowany w .zip z hasłem: infected) i w treści prosi Pan o analizę tego pliku
Post sprawdzony przez  MKS_VIR


Odpowiedz
#18
Ja im (mks_vir) wysyłam bez hasła Smile

Możesz też wysłać plik do Putina Grin [email protected] / raczej ta sama szybkość werdyktu odnośnie pliku
Odpowiedz